TECHNOLOGY

テクノロジー

セキュリティ対策に攻撃側の方法を持ち込む「レッドチーム」。ゼロにはできない脆弱性対策となるか

セキュリティ対策は、問題が発生してから対処するのが一般的だ。つまり、未知の問題に対して未然に防ぐことができていない。
いままではどう守るかに注目されてきたが、具体的な攻撃に対処するための「レッドチーム」が注目されるようになってきた。レッドチームは今までの対策とどう違うのだろうか。


「悪魔の代弁者」レッドチームの活動とは

2017年12月、サイバーセキュリティ対策大手のマカフィーは2017年10大セキュリティ事件ランキングを発表した。
10位は日本マクドナルドがマルウェアに感染した事件。外部に向かって大量のパケットを送信し、ポイントサービスの利用が不可能になった。4位は米ヤフーで不正アクセスが発生した事件。ユーザー30億人以上の個人情報が流出した。

そして1位は5月に発生したランサムウェア「WannaCry(ワナクライ)」による大規模攻撃だ。
日本国内でも製造業、運輸業などでワナクライの被害が発生した。攻撃者の目的や正体はいまだ不明。世界中でほぼ同時に被害が確認され、インターネットにつながっていれば、世界中どこでも瞬時に感染してしまうことを実感した事件だった。

このように、攻撃の手口も変化しており、対象も不特定多数の個人から特定の企業へと、より収益性の高い標的を狙うようになった。

こうしたなかで徐々に注目されつつあるのが「レッドチーム」である。
この名前は軍隊の演習で攻撃型を「レッドチーム」、防御側を「ブルーチーム」と呼んでいたことに由来する。セキュリティの専門家が攻撃チームを作り、現実に近い各種攻撃を顧客企業に仕掛けて企業のセキュリティ対策を検証するというものだ。

これは、サイバー攻撃だけではなく、建物、オフィス空間などの物理的な「場所」や企業にかかわる「人」なども想定する。
システムへの攻撃だけではなく、人の弱さをついたり、組織の構造的な問題をついたりと、あらゆる方法で攻撃するのが特徴だ。攻撃者を金銭目的の犯罪者、愉快犯、ハクティビスト(社会的・政治的主張から攻撃を仕掛ける者)などにペルソナ化してリスクシナリオに沿って各種の手口を実行する。

こうして攻撃者の立場でセキュリティを考えるところからレッドチームのことを「悪魔の代弁者」と呼ぶこともある。
攻撃演習のすべてを実行するには数カ月かかることもある。また、各種攻撃をしかけるにはそれぞれの専門家が必要だ。当然これらのシナリオを実行するにはかなりのコストがかかる。
それでも最近ではこうした取り組みを意欲的に実施する企業も出てきた。


Windows10の開発にも取り入れられるレッドチームの取り組み

2016年11月に日本マイクロソフト主催の「Microsoft Tech Summit」が開催された。
その中でWindows史上もっとも安全なOSとしてWindows10のセキュリティ戦略が語られた。マイクロソフトではすでに「Office365」や「Azure」のようなパブリッククラウドでレッドチームの概念を導入しており、それをWindows製品にも持ち込んだ形だ。

マイクロソフトは「脆弱性をなくす」という長年の取り組みを通して脆弱性はゼロにはできないということを痛感していた。脆弱性が1つでも残れば攻撃者はその脆弱性を突いて攻撃すればよいことになる。そのため、攻撃者は脆弱性よりも攻撃方法に価値を置いていた。

こうしたことから導き出した対策が「敵を知る」ということだ。敵を知って攻撃しにくい構造にしておく。
いざ攻撃されたときに被害が少なくなるようにする。敵を知るためのひとつの方策がレッドチームなのだ。

マイクロソフトでは社内のチームに「レッドチーム」「ブルーチーム」を割り当てている。
レッドチームはセキュリティ脅威をリサーチする部署、ブルーチームはセキュリティ製品のチームが担当する。レッドチームが新たな攻撃方法を発見してブルーチームと共有する。
ポイントは前例のないシナリオを重視して、今までにない攻撃法を開発していくことだ。そしてそれをブルーチームと共有して対策を講じ、Windows10の設計にも反映していった。


レッドチームを内製化したリクルートの成果

リクルートテクノロジーズも2017年にレッドチームを結成した。
もともとはソースコードの脆弱性検査を内製化したのがきっかけだった。そのために一流のセキュリティ人材が集まり、脆弱性検査だけではもったいないということでレッドチームを作った。

リクルートグループでは多数のサービスを提供している。
各サービスが最低限クリアすべきセキュリティ検査は外部に依頼し、レッドチームはそれよりも高度なレベルの検査を行う。また、攻撃者はひとつ脆弱性を発見するとそれに関連した新たな脆弱性も探そうとする。その場合に先手を打って早期復旧できるようにCSIRT(セキュリティ事故対応部署)と共同で取り組んでいる。

レッドチームのポイントは、事業のリスクを的確に判断して自律的に動くということだ。
サービス側からの依頼もあるが、リスクがある場合には自発的に脆弱性を検査する。例えばIT資産管理ソフトの脆弱性が問題になった時はリソースの許すかぎりリクルートで使用している製品・使用していない製品含めて脆弱性を見つけ公表した。外部のホワイトハッカーが攻撃者より先に見つけ出せるようにするためだ。

そのほかにも外部のエンジニア向けにセキュリティ研修を実施したり、海外のホワイトハッカーと脆弱性を検査したり、といった取り組みを行っている。


レッドチーム同士が連携する可能性

セキュリティ対策に必ずついて回るのがコストの問題だ。
高度なセキュリティ人材を社内で抱えて機能させることができるのは一握りの企業だけ。だが、レッドチームが企業、そして国境の垣根を越えて連携することができれば、開発した攻撃の方法を広めることができる。真の防御に到達する重要なファクターとなるだろう。

切磋琢磨できる機会を用意して全体のセキュリティレベルを上げていく。これが日本に、そして世界に必要とされることだ。


<参考・参照元>
2017年の10大セキュリティ事件ランキングの1位は? - マカフィーが調査 | マイナビニュース
レッドチーム演習とは何か? セキュリティ対策の「真の実力」を測定する方法 |ビジネス+IT
なぜWindows10が「史上最も安全」なのか--リスク戦略から誕生した“レッドチーム”という概念 - ログミー
リクルートのレッドチーム、その脆弱性発見力 | 日経 xTECH(クロステック)

あわせて読みたい記事!